Q&A | 보안개념의 새로운 변화, 더 중요한 자산을 지켜내는 제로트러스트의 시작

개요

• 행사: 보안개념의 새로운 변화, 더 중요한 자산을 지켜내는 제로트러스트의 시작
  
  • https://chontv.com/video/event/864
    
• 일시: 2022-12-26 16:00 ~ 17:00
• 진행: Axonius 황원섭 이사

질문과 답변

서보영 
[질문]제로트러스트가 무슨뜻인지 궁금합니다

서보영 
[질문]pc 보안 문서보안 모바일보안이 있는데 어떻게 되는지 궁금합니다

윤성원 
[질문] 제로트로스트란 개념이 팔로알토에서 시작되었다고 하는데 이 말이 맞는지 궁금합니다. 지식에는 사이버 보안 전문가이자 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 2010년 제시한 개념이라고 나오는데 어떤것이 맞는것인지요?

문주웅 
[질문] 4차산업혁명과 기술발달로 인하여 보안 개념이 변화하게 된 계기와 이유는 무엇인가요?

전승호 
[질문] Axonius 제로트러스트 보안솔루션 적용관련 최근 이슈와 해결사례가 궁금합니다

윤성원 
[질문] 최근에는 클라우드 도입이 많아지는데 클라우드에서 Defense in depth 는 좀 변화가 필요할 것 같은데 아닌가요?

이민수 
[질문] Digital Transformation을 하는 과정에서 발생할 수 있는 부작용들은 무엇인가요? 그리고 그러한 부작용들을 효율적으로 해결할 수 있는 방안은 무엇인가요?

서보영 
[질문]탄소중립 친환경 경영방침을 전세계가 esg경영을 준비해야 하는데 어떻게 하고 있는지 궁금합니다

문주웅 
[질문] 디지털 트랜스포메이션을 수행하는 기업에서 보안 관련 위협에 빠르고 효과적으로 대처하는 데 필요한 기술과 환경에 대해서 질문드립니다

이민수 
[질문] 기업에서 자산 가시성의 갭을 최적으로 줄이고 가시성을 향상시킬 수 있는 좋은 방안은 무엇인가요?

이호승 
[질문] 대부분 제로트러스트를 말하면 접근제어, 권한관리, 계정관리 등의 기능등을 언급하는데 엑소니어스 플랫폼은 ZTNA 나 CASB 솔루션과 다른 기능을 제공하는지 궁금하고 엑소니어스 단일 솔루션으로 보호할수 있는 것들은 어떤 것들 인지요

윤성원 
[질문] 요즘은 layered security를 넘어 통합보안이 필요한데 통합보안을 적용하면 자산을 좀 더 효율적으로 보호할수 있는 것이지 궁금합니다.

문주웅 
[질문] 코로나 19 팬데믹 상황 속에서 디지털 전환으로 인한 IT 복잡성을 효율적으로 절감할 수 있는 방법에 대해서 질문드립니다

이호승 
[질문] 사내 수십만대의 서버와 네트워크 장비가 있는데 담당자가 퇴사하거나 조직이 개편되면 자산담당자의 현황 현행화가 어렵고 테스트서버나 불용처리 시스템에 대한 관리가 잘 안되는데요. 자산을 상시 최신화하여 관리하는 기술이나 기능도 있는지 궁금합니다.
    황원섭 이사 답변 : 이 질문에 대한 내용이 CAASM이다. 자산이 많고 복잡한 환경은 수기로 자산파악이 힘들다. 자동화와 식별을 통해 유니크한 값을 통해 각각의 자산을 찾는것이 중요하다.

윤성원
[질문] 제로트러스트란 개념을 가진 보안장비들이 각 layer별로 적용해서 나오고 있는데 제 생각에는 제로트러스트는 인증단계에서 부터 적용하는것이 가장 효과가 좋을 것 같은데 제로트러스트를 layered security에서 어느단계에 적용시 가장 효과가 좋은지요?
    
이원규
[질문] 제로트러스트를 구현하는 방법에는 어떤 방법들이 있나요?
    
이민수
[질문] 재택근무와 원격근무를 많이 하는 기업에서 업무 환경에 최적인 보안 환경을 구축할 수 있는 방안과 프로세스는 무엇인가요?
    
문태진
[질문] 각 부서별(기획, 개발, 운영, 영업등..개인소유 폰, 패드 노브툭 등) 로 한 기업에 자신들이 상당히 많은데요 이러한 기기들에 대한 단말 보안이 상당히 중요하다고 생각하는데, 인원이 많을수록 사용자 계정과 패스워드 관리, 기기별 보안관리를 기업에 데이터 보안과 안전을 위해 전부다 한다면, 보안에 관련된 의외에 비용이 증가할거 같은데요 1차적으로 자산을 업무유형과, 단말유형으로 구분관리히면서 보안관련 비용을 최소화 시켜주는 방안과, 기존 사례중 이동중, 업무시간후 업무초리를 위해 개인단말을 사용시 어떠한 정책관리로 통합적인 관리를 하는지 대표적인 사례를 들어 알려주면 좋겠습니다.

윤성원
[질문] 공격표면 확장 공격이 요새 핫이슈인데 이는 재택근무의 확산으로 더 부각되는 데 이 공격을 효과적으로 막는 방법은 무엇인지 궁금합니다.
    황원섭 이사 현재는 자산이 흩어져있기 때문에 검증하는 제로트러스트 방식을 사용하는것, 자산의 사용 용도에 따라 적용방식이 다를거같다.

윤성원
[질문] 자산의 중요도를 점수화하기 위해서는 자산을 표준화하고 그것은 erp 시스템과 연계해서 관리하는 것이 효과적일것 같은데 자산의 표준화하는 방법과 표준화시 여러 보안 제품들에 관계없이 바로 사용이 가능한지 궁금합니다.

이원규
[질문] 어떤 방식이든 보안팀을 갈구면 다 해내지 않나요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 이제는 바뀌어야 할 시기라고 생각합니다! ^^

지정호
[질문] 자산의 가치의 위험을 줄이기 위한 중요한 방안은 무엇인지요? 기업 자산 분류 기준과 가치 평가는 어떻게 이루어지는지요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 본 질문은 제 전문 분야가 아니므로 답변을 아끼도록 하겠습니다.^^ 너그러운 이해를 부탁드립니다.
    
문주웅
[질문] Multi-layered Security를 구축한 기업에서 여전히 보안 사고가 발생하는 경우 이에 대해서 체계적으로 대응할 수 있는 방법에 대해서 질문드립니다
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 최근 트렌드는 관리되지 않는 자산(device)에서 보안 사고가 많이 발생되고 있습니다. 웨비나에서 소개해 드린데로 기존에 보안 위협을 모니터링하고 자산의 취약점을 대응하는 방식과 더불어 내부 자산을 자동으로 식별하는 CA-ASM 솔루션으로 체계적으로 대응할 수 있습니다.

지정호
[질문] 제로트러스트에서 MFA 다중 인증 적용과 보안 강화와 취약점에 대한 가시성 확보의 중요 사항과 관련하여 Axonius는 타 솔루션과 차별성은 무엇이며, 지원 방안은 어떻게 되는지요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 본 웨비나에서 자산의 가시성 확보가 조직의 위험 관리 측면에서 매우 중요하다고 강조하였습니다. 저희 Axonius 솔루션은 자산 식별을 사람의 관여없이 이미 보유하신 다양한 IT/보안 솔루션과 연동하여 자산(IT device) 데이터를 수집하여 상관분석엔진을 통해서 자동으로 unique device를 식별하고 수집한 다양한 정보들을 통합하여 검색 및 대시보드, 자동화 액션 기능을 제공합니다. 솔루션 소개 시간을 허락해 주시면 찾아뵙고 소개 및 데모로 설명드리겠습니다.

서보영
[질문]전산실이나 인력문제로 회사에서 없어지고 있는데 어떻게 생각하는지 궁금합니다

서보영
[질문]ceo 입장에서 장비돈들어가고 유지보수 인력문제로 없어지고 있는데 어떻게 생각하는지 궁금합니다
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 제 생각에는 이제 기업이 살아남기 위해서 보안은 필수라고 생각합니다. 적은 인원으로 보안과 위험 대응을 효과적으로 할 수 있는 방법은, 내부 자산 가시성과 취약성을 관리할 수 있는 CAASM과 같은 솔루션이 반드시 필요하다고 생각합니다.    

이민수
[질문] 잠재적 위험을 효과적으로 절감하려는 경우 총자산가치, 취약성의 심각도, 위협의 심각도를 최적으로 관리하는 방안은 무엇인가요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 저는 사실 위험관리 전문가는 아닙니다. 저도 공부하고 있습니다. ^^ 다만, 본 웨비나에서 위험(Risk)를 언급한 이유는 보안에 있어서 자산 식별의 중요성을 강조하기 위해서 입니다.

이호승
[질문]
계열사 및 그룹사 보안관리와 관제를 하고 있는데 위탁서비스는 자산정보를 제공할수 없다는게 일반적이고 자산과 상관없이 모든 위협을 식별하고 처리해달라고 하고 보안서비스 제공자의 현실은 호락호락 하지 않거든요.CAASM 은 자체보안을 하는 기업만 도입을 하거나 제안되고 있는지
보안서비스용으로 구축해서 사용하거나 제공하는 사례가 있는지 궁금합니다.
 황원섭 이사
 좋은 질문 주셔서 감사합니다. CAASM은 기업 내부의 자산 정보를 다루기 때문에 서비스 보다는 Enterprise용 솔루션 이라고 볼 수 있습니다. 다만, 최근에는 보안서비스용으로도 검토하고 있습니다. 저희 Axonius CAASM 솔루션은 SIEM처럼 여러 IT/보안솔루션에서 자산 데이터를 수집하여 상관분석하는 플랫폼임으로, 보안 서비스용도로 활용할 수 있습니다.

윤성원
[질문] IT 자산관리는 사실은 it에서 하는 것보다 회계시스템을 관리하는 ERP 팀이 하는 것이 더 현실적인데 왜냐하면 IT팀은 자산만 시스템에 입력하고 그 유지관리만 하는것이 현실이라 IT 자산하면 IT팀, 보안팀, ERP팀, 3개팀이 모두 관여되는데 이렇게 되면 권한이 분산되어 결과적으로 서로 책임 떠넘기기만 하는데 3개팀중 어느팀이 독자적으로 관리하는 것이 가장 효과적일지 궁금하고 해외는 어떻게 관리하는지요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 본 웨비나에서 보안에서 자산 식별의 중요성을 강조하였습니다. 그렇다고 현재 ERP팀이나 IT(인프라)팀에서 하고 있는 자산관리 업무가 필요없고 보안팀으로 이관해야 한다는 의미는 아닙니다.(업무 목적과 목표가 다름) 다만 보안(운영) 업무 측면에서 자산 식별이 필요하니 CAASM솔루션을 구성하여 자동으로 전체 자산를 식별한 후 해당 자산 데이터를 ERP팀이나 IT(인프라)팀에도 제공 할 수 있습니다. 해외에서도 보안팀에서 별도로 CAASM을 도입하여 활용하고 있습니다.

유재명
[질문]생체인증, 듀얼인증을 이용한 보안인증으로 옮겨가고 있습니다. 이것 역시 한계는 있는 분명해 보입니다. 가까운 미래에는 양자를 이용한 보안방법과 제로트러스트에 대한 극복 방법도 개발중인지, 어디까지 개발되었는지 말씀해주시면 고맙겠습니다.
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 본 질문은 제 전문 분야가 아니므로 답변을 아끼도록 하겠습니다.^^ 너그러운 이해를 부탁드립니다.

이민수
[질문] 기업에서 ZT, ZTA, ZTNA 모델을 선택할 때 중요하게 고려하고 점검해야 할 요소들은 각각 무엇인가요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 저는 사실 제로트러스트 전문가는 아닙니다. 저도 공부하고 있습니다. ^^ 다만, 본 웨비나에서 제로트러스트를 언급한 이유는 보안에 있어서 자산 식별의 중요성을 강조하기 위해서 입니다.

심사원
[질문] 제로트러스트와 CSPM, CWPP, SAE 간에 연관성이 있는지요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 본 질문은 제 전문 분야가 아니므로 답변을 아끼도록 하겠습니다.^^ 너그러운 이해를 부탁드립니다.

한위원
[질문] 제로트러스트는 기존 경계보안에서의 DID심층방어와 다른 개념인지요 아님 상호 보완적인지요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 네 제로트러스트는 기존 경계보안과 상반되는 "경계없는 보안(perimeterless security)"이라고 얘기합니다. 그러나 제 생각에는 아직까지 환경에 따라 상호 보완적으로 고려할 필요가 있다고 생각하고 있습니다.

한규권
[질문]클라우드 네이티브 환경에서 자산관리가 가능한지요? 사례가 궁금합니다
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 보안을 위한 자산 식별에 예외 영역은 없어야 한다고 생각합니다. 현재의 IT자산은 온프레미스, 클라우드(퍼블릭, 프라이빗), 가상화, 컨테이너 영역 모두에 존재합니다. Axonius 솔루션의 경우에는 Network 스위치, NAC, Host에 설치되는 Agent, AD, 클라우드와 API연동, Kubernetes 등과 연동하여 자산 정보(device의 hostname, ip, mac, os, installed software list 등)를 수집하여 상관분석엔진을 통해서 자동으로 unique device를 식별하고 수집한 다양한 정보들을 통합하여 검색 및 대시보드, 자동화 액션 기능을 제공합니다. 이미 글로벌하게 400개 이상의 고객사를 보유하고 있습니다.

문주웅 
[질문] 보안 리스크를 식별할 때 R = A * V * T라는 공식에서 가장 크게 작용하는 항목은 무엇인가요?
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 웨비나 시간에 이미 답변은 드렸습니다만 다시 의견 드립니다. 해당 공식만을 기준으로 본다면, 자산(Asset), 취약점(Vulnerability), 위협(Threat) 모두 중요한 항목입니다. 다만 취약점과 위협은 모두 관련된 자산이 있을때 영향도가 있기때문에, 저는 자산이 제일 크게 작용하는 항목이라고 생각합니다.

문태진
[질문] 자산들을 식별해서 DB 화 시킬때, 기본적인 회사 자산들들과 이동 업무성 회사자산과 개인 기기들을 업무에 사용하는 것들도 별도로 각각 카테고리를 나누어서 관리하면서 모든 디바이스 보안안정성을위한 Axonius 에 특화된 솔루션은 어떤 것이 있는지요?
 황원섭 이사 
 좋은 질문 주셔서 감사합니다. 저희 Axonius에서는 기업용 솔루션을 판매함으로 식별과 관리의 대상 자산(IT device)도 회사 자산만을 대상으로 합니다. 그러나 회사 내부 네트워크에서 자동으로 식별된 자산 중 개인 기기가 식별될 경우 tag를 달아서 별도로 관리할 수는 있습니다.

이민수 
[질문] 기업에서 보안 리스크를 신속하게 탐지하고 식별할 수 있는 방안은 무엇인가요? 이와 관련하여 Axonius Korea에서 지원하시는 서비스에 대해서 설명 부탁드립니다
 황원섭 이사
 좋은 질문 주셔서 감사합니다. 본 웨비나 내용을 기준으로 말씀드리면, "Risk = Asset x Vulnerability x Threat" 공식에 의해 기업의 전체 자산을 식별하고 그 자산의 취약점을 파악하여 조치하고 실시간 위협 모니터링 체계을 구성하시면 좋을 것 같습니다. 이와 관련하여 저희 Axonius에서는 기업 전체의 정확한 자산(unique device)을 자동으로 식별하고 대응 및 활용할 수 있는 CAASM 솔루션을 판매하고 있습니다.